[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [RFR] wml://security/2015/dsa-340{2,3}.wml

Oubli réparé...
Le 25/11/2015 10:42, Philippe Gras a écrit :
> 
> Le 25 nov. 2015 à 09:22, jean-pierre giraud <jean-pierregiraud@neuf.fr> a écrit :
> 
>> Bonjour,
>> Deux nouvelles annonces de sécurité viennent d'être publiées. En voici
>> une traduction.
>> Merci d'avance pour vos relectures.
>> Amicalement,
>> jipege
>>
> 
> Pièces jointes manquantes ?
> 


#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Cette mise à jour rétroporte les modifications de la version 3.2.2 de
commons-collections qui désactivent la désérialisation des classes
<q>functor</q> sauf si la propriété du système
org.apache.commons.collections.enableUnsafeSerialization
est configurée à <q>true</q>. Cela corrige une vulnérabilité dans des
applications non sécurisées qui désérialisent des objets à partir de
sources non fiables, sans vérifier les données d'entrée. Les classes
considérées comme non sûres sont : CloneTransformer, ForClosure,
InstantiateFactory, InstantiateTransformer, InvokerTransformer,
PrototypeCloneFactory, PrototypeSerializationFactory et WhileClosure.</p>

<p>Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 3.2.1-5+deb7u1.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 3.2.1-7+deb8u1.</p>

<p>Pour la distribution testing (Stretch), ce problème a été corrigé dans la version 3.2.2-1.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.2.2-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libcommons-collections3-java.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3403.data"
# $Id: dsa-3403.wml,v 1.1 2015/11/25 08:19:28 jipege1-guest Exp $

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans symfony, une plate-forme
de création de sites et d'applications web. 

Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les
problèmes suivants.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8124";>CVE-2015-8124</a>

<p>L'équipe de RedTeam Pentesting GmbH a découvert une vulnérabilité de
fixation de session dans la fonctionnalité de connexion <q>Remember Me</q>,
permettant à un attaquant d'usurper l'identité de la victime envers
l'application web si la valeur d'identification de la session était connue
précédemment par l'attaquant.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-8125";>CVE-2015-8125</a>

<p>Plusieurs vulnérabilités potentielles d'attaque temporelle à distance
ont été découvertes dans des classes du composant Security de Symfony et
dans l'ancienne implémentation de contrefaçons de requête intersite du
composant Form de Symfony.</p></li>

</ul>

<p>Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2.3.21+dfsg-4+deb8u2.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.7.7+dfsg-1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets symfony.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3402.data"
# $Id: dsa-3402.wml,v 1.1 2015/11/25 08:19:28 jipege1-guest Exp $
Reply to: